Chinese hackers infiltreren wereldwijd IT-service providers
Een Chinese hackersgroep die zich toelegt op geavanceerde spionage, heeft zijn terrein het afgelopen jaar verlegd van Amerikaanse defensie-, tech- en telecombedrijven naar Managed IT Service Providers (MSPs) wereldwijd. Dat rapporteren PwC, Bae Systems en het Britse National Cyber Security Centre, die een gezamelijk onderzoek uitvoerden naar de activiteiten.
Cloud Hopper
De spionagecampagne werd door de onderzoekers “Operation Cloud Hopper” gedoopt. Ze stellen dat achter de cyberaanvallen zeer waarschijnlijk het Chinese hackerscollectief APT10 schuilgaat. Die groep verscheen in 2009 voor de eerste keer op de radar, en focuste zich toen voornamelijk op het stelen van informatie in de VS.
Sinds 2016 hebben ze het geweer echter van schouder gewisseld. Hun focus ligt nu op MSPs wereldwijd. De onderzoekers hebben al inbreuken van de groep vastgesteld in de VS, Canada, het Verenigd Koninkrijk, Frankrijk, Zwitserland, Scandinavië, Zuid-Afrika, India en Australië.
Gedeeld netwerk
APT10 bedient zich van gerichte phishingaanvallen en speciaal gecreërde malware om toegang te verkrijgen tot netwerken van de service providers. Het verleden heeft al uitgewezen dat ze geavanceerde tools ter beschikking hebben om grote volumes aan data te stelen en ongedetecteerd te verplaatsen. De uitbreiding van de activiteiten van APT10 noopt de onderzoekers tot de conclusie dat het personeel en de middelen die de groep ter beschikking heeft sterk zijn gestegen.
MSPs zijn een lucratief doelwit voor cybercriminelen. Ze krijgen niet alleen toegang tot de data van het bedrijf, maar ook tot de netwerken van hun klanten en hun data. De naam Cloud Hopper is gekozen vanwege de gedeelde infrastructuur van MSPs en hun klanten, waardoor de Chinese hackersgroep tussen verschillende netwerken kan springen.
Actie ondernemen
“Deze indirect aanpak om vele bedrijven te raken door zich te richten op een klein aantal doelwitten demonstreert een nieuw niveau van professionalisering in cyberspionage,” stelt het rapport. Kris McConkey, een van de PwC-onderzoekers, roept bedrijven op om actie te ondernemen: “Dit is een globale campagne met het potentieel om vele landen te treffen, waardoor organisaties over de hele wereld met hun security-afdelingen en hun providers zouden moeten werken om hun netwerken te checken op aanwijzingen dat er inbreuken zijn gepleegd, en om te verzekeren dat ze gepast reageren en zich beschermen,” aldus het rapport. Het National Cyber Security Centre heeft richtlijnen gepubliceerd voor bedrijven om hen te informeren over het gevaar.